[发明专利]自动通信网络系统加固

说明书

一种用于自动改进网络系统（10）的安全的方法包括：从网络系统（10）的网络装置（14）收集安全相关信息（30'），安全相关信息（30'）包括网络装置（14）的安全设定（32）和操作信息（34）；分析安全相关信息（30'），以便确定网络装置（14）的弱安全设定（32'），弱安全设定（32'）对于网络系统（10）的常规操作不是必要的；基于弱安全设定（32'）来确定用于网络装置（14）的加固的安全设定（32''），加固的安全设定（32''）限制网络装置（14）的可能操作，但是允许网络系统（10）的常规操作；以及将加固的安全设定（32''）应用于网络装置（14）。

技术领域

本发明涉及通信网络系统的安全的领域。特别是本发明涉及用于自动改进网络系统的安全的方法、计算机程序和网络加固（hardening）系统。另外，本发明涉及网络系统。

背景技术

当今几乎所有工业系统包括以通信方式与彼此互连并且与外部装置互连的许多计算装置。这样的网络系统的每个装置可具有安全设定，所述安全设定控制允许的操作以及与其他装置的允许的通信。然而，在安装之后，安全设定可能是不正确的或者仅被部分地设置。

为了改进网络系统的安全，网络系统可被“加固”，这除了别的之外还可意指以下过程：评估安装的软件、运行的应用和进程以及用于外部接入的接入点，并且通过将安装的软件、进程和接入点限制到实行所要求的任务要求的绝对最小量来减少攻击表面。

当前，网络系统通常在调试阶段期间被加固，并且对操作中的系统很少或没有执行加固。然而，在调试阶段中的手动加固过程可以是挑战性的和易出错的。此外，即使存在某种程度的自动化，但是被应用的规则可能是不正确的或者仅部分地可适用于给定网络系统，这在建立系统时可能难以检测。

此外，可以的是，网络系统的部分能够在其寿命期间改变，例如可添加或更换装置，或者可修改一些装置的配置。对改变的网络系统而言，初始加固可能不再是有效的或者可能是不完整的。

US 2013/097706涉及移动装置的安全并且涉及使用仪器化沙箱和机器学习分类来评估移动应用安全的自动化应用分析。

US 7966659 B1涉及用于配置防火墙的分布式学习方法。在学习模式期间从分布式源收集业务信息。该信息被转换为系统上下文，能够从系统上下文创建安全规则，并且能够将安全规则自动应用于防火墙。

US 2015/135265 A1涉及自动网络防火墙策略确定。模板编译器能够从用户已经选取的商业工具来自动确定网络安全策略。防火墙能够监控业务，并且能够通过使网络安全更加严格来基于业务更新安全策略。

发明内容

本发明的目的是提供一种具有更高安全的网络系统。本发明的另外的目的是简化网络系统的加固。

这些目的通过独立权利要求的主题来被实现。由从属权利要求和以下描述，另外的示例性实施例是显而易见的。

本发明的方面涉及一种用于自动改进网络系统的安全的方法。网络系统可以是经由通信网络与彼此互连的计算装置的任何系统。下面可称作网络装置的计算装置可以是诸如路由器、交换机和防火墙之类的只支持网络系统中的通信的装置，和/或可以是诸如PC、服务器、控制器、智能电子装置、智能装置等与彼此通信的装置。

在这里以及在下文中，术语“自动地”可描述方法可由计算装置在没有人类的直接干涉的情况下执行。例如，方法可由网络系统的一个或多个装置和/或由与网络系统互连的一个或多个装置执行。

根据本发明的实施例，该方法包括：从网络系统的网络装置收集安全相关信息，安全相关信息包括网络装置的安全设定和操作信息。